Cyberaanval op Nederland Citadel-malwareonderzoek “Pobelka” botnet
Cyberaanval op Nederland | Citadel-malwareonderzoek “Pobelka” botnet Pagina 1
Inhoudsopgave Inleiding ...... 3 Telegraaf.nl ...... 3 Pobelka ...... 4 Doelgericht ...... 4 Nederland...... 5 Java exploits ...... 5 Cyberincidenten ...... 6 Weeronline.nl ...... 6 Dorifelvirus ...... 7 Bankrover ...... 7 Facebook ...... 7 Landsbelang ...... 8 Rapporten ...... 9 Citadel ...... 10 Achtergrond ...... 10 Kostprijs...... 10 Man-in-the-Browser ...... 11 Diefstal ...... 12 Cliënt-certificaten ...... 13 DigiNotar ...... 13 Citadel Server ...... 13 Onzichtbaar ...... 14 25 dagen ...... 14 Overleven ...... 15 Windows-register ...... 15 Gebruikersprocessen ...... 16 Systeemrechten...... 16 Compressie ...... 17 Unieke versleuteling ...... 17 Beveiligingssoftware ...... 18 Geïnstalleerde software ...... 19 Bijzonderheden ...... 20 Ransomware ...... 20 Brian Krebs ...... 20 Minachting ...... 21 HitmanPro ...... 21 Conclusie ...... 22 Aanbevelingen ...... 23 Bijlage 1 – Webbrowser-hooks ...... 24 Bijlage 2 – Citadel-webadressen ...... 25 Bijlage 3 – Beveiligingssoftware ...... 26 Contact ...... 27
Cyberaanval op Nederland | Citadel-malwareonderzoek “Pobelka” botnet Pagina 2
Inleiding
Dit document is het resultaat van een onderzoek van SurfRight en Digital Investigation naar aanleiding van de virusverspreidingen via de populaire nieuwssite Telegraaf.nl op 6 september 2012. In het hoofdstuk ‘Pobelka’ is gedetailleerde informatie over het ‘moederschip’ van de cybercriminelen en de aangetroffen data opgenomen. Deze statistische data, waarmee o.a. de grafieken in dit document zijn gemaakt, zijn beschikbaar gesteld door Digital Investigation.
Het hoofdstuk ‘Citadel’ beschrijft het digitale paard van Troje waarmee cybercriminelen maanden lang ongemerkt persoonlijke en strategische informatie hebben gestolen bij Nederlandse burgers, bedrijven en overheidsinstellingen. Deze malafide software (malware1) is gebaseerd op een ouder computervirus genaamd ZeuS. Deze malware wordt doorgaans gezien als een digitale bankrover maar Citadel heeft in Nederland niet zozeer bankrekeningen geplunderd. De subtitel die de ontwikkelaars van Citadel hun kwaadaardige programma hebben gegeven is passend: Universal Spyware System.
Telegraaf.nl De in dit document beschreven Citadel-malware is gebaseerd op een exemplaar2 dat begin september via zogenaamde ‘exploits’3 via de website Telegraaf.nl werd verspreid4. Cybersecurity analist Mark Loman van SurfRight stuitte via dit exemplaar op het ‘moederschip’ van de criminelen waarna cybercrime expert Rickey Gevers van Digital Investigation de cybercriminelen digitaal opgezocht en via een take-down-notice hun operatie ontmantelde. Uit de data op dit ‘moederschip’ blijkt dat deze cybercriminelen mede verantwoordelijk zijn voor grote cyberincidenten in Nederland dit jaar, waaronder de uitbraak van het Dorifelvirus en de verspreiding van allerlei andere malware vanaf diverse veel bezochte Nederlandse websites.
Doel van dit document is bewustzijn te creëren over de impact van cybercrime op ons dagelijks leven. Om cybercriminelen niet op nieuwe ideeën te brengen bevat dit document slechts beperkte en algemene technische gegevens. Deze dienen alleen als informatieve ondersteuning van het onderzoek. Het loont om bij de bestrijding van cybercrime sommige details geheim te houden, want morgen verschijnt er weer een nieuw botnet. Omdat Citadel een commercieel misdaadplatform is, zijn er wereldwijd, inclusief Nederland, nog legio andere Citadel-botnets actief waar dit exemplaar geen relatie mee heeft en waar wij geen onderzoek naar hebben verricht.
1 http://nl.wikipedia.org/wiki/Malware 2 SHA-256 dropper: 6775DDC279935A95A3A8283273C16D43815B162F2B7E1DE571E631E88AD830F3 3 http://nl.wikipedia.org/wiki/Exploit_(computerbeveiliging) 4 https://www.ncsc.nl/actueel/nieuwsberichten/nieuwssite-telegraaf.nl-linkte-naar-malware.html
Cyberaanval op Nederland | Citadel-malwareonderzoek “Pobelka” botnet Pagina 3
Pobelka
Naar aanleiding van het virusonderzoek van SurfRight heeft Digital Investigation de servercomputer van de aanvallers digitaal opgespoord en beslag gelegd op hun infrastructuur. Via dit ‘moederschip’ is duidelijk geworden dat de cybercriminelen 264.339 verschillende zombiecomputers 5 besturen via hun cybercrime- operatie. Deze operatie heet “Pobelka” (Побелка). Het heeft deze naam omdat de Citadel servercomputer de domeinnaam pobelka***.*** gebruikt. Om zijn identiteit te verhullen was deze zogenoemde command-and- control-computer verstopt achter diverse ‘proxies’6.
De cybercriminelen zijn in januari 2012 dit zombie-computernetwerk (botnet) begonnen op te zetten en hebben het dit jaar voor 4 campagnes gebruikt. Hieronder de tijdpaden van de verschillende campagnes:
Campagne Jan Feb Maa Apr Mei Jun Jul Aug Sep
Mandarinas
Mango
Lime
Pepper
Doelgericht Één van de grootste botnets ter wereld is momenteel dat van het computervirus genaamd ZeroAccess7. Dit Trojaans paard houdt zich bezig met klikfraude8 en heeft momenteel 1 miljoen actieve bots, verspreid over 198 landen. Het Pobelka botnet waarop dit onderzoek is gebaseerd bestaat uit 264.339 computers die voornamelijk in Nederland en Duitsland staan en kan daarom, gezien het aantal inwoners in deze 2 landen, beschouwd worden als een relatief doelgericht botnet. Dit blijkt ook uit de Pobelka-configuratie:
RewriteCond %{ENV:GEOIP_COUNTRY_CODE} !^DE|NL|AE|FI|FR|PT|US|AU|UK|GB
Tijdens de malware-uitbraken in Nederland dit jaar is overigens veelvuldig de ZeroAccess-malware verspreid, waaronder via Telegraaf.nl.
5 http://nl.wikipedia.org/wiki/Zombiecomputer 6 http://nl.wikipedia.org/wiki/Proxyserver 7 http://nakedsecurity.sophos.com/2012/09/19/zeroaccess-botnet-uncovered/ 8 http://nl.wikipedia.org/wiki/Klikfraude
Cyberaanval op Nederland | Citadel-malwareonderzoek “Pobelka” botnet Pagina 4
Nederland Uit de gegevens van de door Digital Investigation ontmantelde Citadel command-and-control-server blijkt dat het leeuwendeel (57,1%) van de door cybercriminelen overgenomen systemen (zombiecomputers) in Nederland staat. Deze computers zijn ook onderdeel van grote netwerken van o.a. Nederlandse uitgevers, bouwbedrijven, banken, universiteiten, voedselproducenten, ziekenhuizen, zorgverzekeraars, luchtvaartmaatschappijen, nutsbedrijven, chemie-industrie en overheidsinstellingen. De overige getroffen computers staan voornamelijk in Duitsland (31,2%).
De eigenaren van deze systemen zijn zich niet bewust dat deze systemen zijn overgenomen.
Java exploits Het uitvoeren van online aanvallen gebeurd voornamelijk via gehackte websites, waarop cybercriminelen zogenaamde exploits hebben verstopt. Hierbij maken aanvallers misbruik van een bug in de beveiliging van wijdverspreide software (in het bijzonder browserplug-ins) op computers van websitebezoekers. Het bezoeken van deze websites met onveilige versies van programma's zoals Java, Adobe Flash Player en Adobe Reader zorgt ervoor dat de computer automatisch met malware wordt besmet. Het succesvol kunnen toepassen van exploits is afhankelijk van de aanwezigheid van zwakke plekken in populaire programma's geïnstalleerd op de computers van websitebezoekers.
In het derde kwartaal van 2012 maakte 56% van alle exploit-aanvallen9 misbruik van kwetsbaarheden in Java software van het bedrijf Oracle, waarbij de in augustus ontdekte kwetsbaarheid CVE-2012-4681 voor cybercriminelen zeer succesvol10 is gebleken: 21% van de bezoekers van gehackte websites werd succesvol geïnfecteerd.
Java staat wereldwijd op meer dan 1,1 miljard computersystemen. Beveiligingsupdates voor Java worden niet automatisch geïnstalleerd waardoor cybercriminelen zeer lange tijd een kwetsbaarheid kunnen misbruiken. De kwetsbaarheid trof niet alleen Windows-computers maar ook Mac OS X en Ubuntu Linux.
9 http://www.securelist.com/en/analysis/204792250/IT_Threat_Evolution_Q3_2012 10 http://blog.seculert.com/2012_08_01_archive.html
Cyberaanval op Nederland | Citadel-malwareonderzoek “Pobelka” botnet Pagina 5
Cyberincidenten Citadel maakt het mogelijk dat aanvallers niet de vereiste kennis nodig hebben om deze webservers te ‘hacken’11. Cybercriminelen waren in staat om met de buitgemaakte toegangsgegevens webpagina’s van de meeste uitgevers in te loggen. Zo zijn er in maart door Citadel inloggegevens buitgemaakt waarin de woorden ‘telegraaf’ en ‘tmg’ voorkomen. Op het Pobelka botnet werden ook toegangsgegevens voor andere persorganisaties aangetroffen.
Onderstaand overzicht toont het aantal unieke zombiecomputers die per dag verbinding hebben gemaakt met de Citadel command-and-control-server. Van links naar rechts respectievelijk de mango, lime en pepper campagnes. In het overzicht zijn ook een aantal bekende cyberincidenten opgenomen.
weeronline.nl fcupdate.nl
f1racing.nl
DeParade.nl Telegraaf.nl
RTV West OpenX advertentieservers
Dorifelvirus
Weeronline.nl Op de website weeronline.nl werd 6 juni kwaadaardige code ontdekt waardoor de pc's van bezoekers van deze website werden aangevallen. Bezoekers die de twee weken ervoor weeronline.nl hebben bezocht, zijn daardoor mogelijk in aanraking gekomen met kwaadaardige code. NCSC12: “Het doel van de aanval is het besmetten van pc's met de malware Zbot. Onderzoek heeft uitgewezen dat dit in sommige gevallen ook gelukt is”. Zbot is de verzamelnaam voor alle op ZeuS gebaseerde malware, zoals Citadel.
11 http://nl.wikipedia.org/wiki/Hacken 12 http://www.waarschuwingsdienst.nl/Risicos/Actuele+dreigingen/Virussen+en+wormen/WD-2012- 050+Weeronline.nl+verspreidde+malware.html
Cyberaanval op Nederland | Citadel-malwareonderzoek “Pobelka” botnet Pagina 6
Dorifelvirus Na de uitbraak van het Dorifelvirus op 9 augustus werd duidelijk dat de Dorifel-malware communiceerde met twee Citadel command-and-control-servers in Oekraïne. Nu, naar aanleiding van de telegraaf.nl virusverspreidingen, blijkt dat 45% van de zombiecomputers (waar in augustus het Dorifelvirus op werd aangetroffen) ook onderdeel waren van het Pobelka botnet. Dit houdt in dat dit botnet over het hoofd is gezien omdat het een maand later werd ingezet om vanaf telegraaf.nl malware te verspreiden, of dat deze besmette computers doorlopend gecompromitteerd raken.
Zie ook ‘Rapporten’ op pagina 9 voor een overzicht van het aantal verslagen (met buitgemaakte gegevens) die het botnet dagelijks ontving.
Bankrover In de configuratiedata voor de Citadel-malware die op de command-and-control-server is aangetroffen blijkt dat de malware ook is ingezet om geld te stelen van drie Nederlandse banken en hun rekeninghouders:
ING ABN AMRO ASN Bank
Facebook Uit de configuratiedata op de server blijkt dat Citadel ook het webverkeer met andere buitenlandse banken en populaire websites moest onderscheppen en manipuleren:
PayPal Barclays Fiducia eBay Amazon Facebook
Cyberaanval op Nederland | Citadel-malwareonderzoek “Pobelka” botnet Pagina 7
Landsbelang Er is dit jaar via het Pobelka botnet niet alleen 8 maanden lang op grote schaal vertrouwelijke data zoals inlognamen en wachtwoorden buitgemaakt. De malware heeft ondanks aanwezige antivirussoftware ook ongemerkt lokale netwerken verkend, waarbij een veelvoud aan nabije apparaten in kaart zijn gebracht, waaronder industriële apparaten die niet direct met het internet zijn verbonden. Er is dus niet alleen informatie over de 264.339 zombiecomputers zelf verzameld, er is ook strategische kennis over een veel groter aantal andere systemen op de interne netwerken gestolen.
Het is daarom niet ondenkbaar dat deze gegevens zijn doorverkocht aan derden, bijvoorbeeld ‘schurkenstaten’13, die het in de toekomst kunnen misbruiken om binnen een uur (vanaf afstand) bijvoorbeeld elektriciteits-, gas- en drinkwatervoorzieningen te ontregelen.
Zo lang er nog een zombiecomputer in het interne netwerk aanwezig is kunnen cybercriminelen informatie blijven verzamelen en andere malware via het netwerk verspreiden (denk aan het Dorifelvirus). Het is daarom belangrijk om alle computers in het netwerk (regelmatig) te controleren en de besmette computers op te schonen of opnieuw in te spoelen (her-installeren) voordat de wachtwoorden worden gewijzigd.
13 http://nl.wikipedia.org/wiki/Schurkenstaat
Cyberaanval op Nederland | Citadel-malwareonderzoek “Pobelka” botnet Pagina 8
Rapporten De volgende grafiek toont per dag het aantal rapporten die de Citadel-malware naar de Pobelka command- and-control-server heeft gestuurd. Deze rapporten bestaan uit buitgemaakte kritieke toegangsgegevens, netwerkconfiguratiedata en andere (voor cyberaanvallen) strategische informatie, zoals details over de andere apparaten en systemen op het netwerk van de zombiecomputer.
Dorifelvirus
In de grafiek is ook een stilte van 8 dagen voor de uitbraak van het Dorifelvirus te zien. Op de dag dat het Dorifelvirus uitbrak, 9 augustus, is er ineens een flinke piek in het aantal ontvangen rapporten. Vergelijk je deze grafiek met die van de botcommunicatie bij ‘Cyberincidenten’ op pagina 6, dan kun je ook hieruit concluderen dat de Citadel-malware op de meeste computers al enige tijd, een maand14, ongezien op veilig geachte computersystemen stond. Hieruit kan ook vastgesteld worden dat de Citadel-malware toen nieuwe data moest buitmaken. Een kleine greep uit wat er zoal op de Citadel-server is aangetroffen15 16.
de netwerkindelingen van grote multinationals en organisaties uit de vitale infrastructuur; productontwikkelingen van technologisch hoogstaande bedrijven; lopende zaken van gerenommeerde advocatenkantoren; waar medewerkers van verschillende ministeries aan werken; welke informatie op diverse redacties circuleert; welke medewerkers in een ziekenhuis welke verslagen schrijven.
14 http://hitmanpro.wordpress.com/2012/08/11/joint-strike-force-against-dorifel/ 15 http://www.hpdetijd.nl/2012-12-24/heeft-u-al-een-rus-in-uw-computer/ 16 http://nos.nl/artikel/474184-overheid-laks-na-grote-cyberaanval.html
Cyberaanval op Nederland | Citadel-malwareonderzoek “Pobelka” botnet Pagina 9
Citadel
Achtergrond Nadat de ontwikkelaar van ‘ZeuS’17 (een befaamde ‘banking Trojan’) was gestopt met het ondersteunen van zijn product, bleven kopers met slechtwerkende ‘botnets’18 zitten en kwamen ondergrondse hacker-forums vol te staan met klachten van boze cybercriminelen. In mei 2011 ‘lekte’19 de broncode van deze jarenlang populaire digitale bankrover op internet waardoor het slechts een kwestie van tijd was voordat er varianten zouden verschijnen.
Citadel is gebaseerd op deze “open-source” broncode en is ondertussen de meest succesvolle uitloper van ZeuS. Het hanteert een malware-as-a-service model en wordt actief ontwikkelt door Russische en Oekraïense programmeurs. Een groot verschil met ZeuS is de goede klant-ondersteuning via een toegespitst klantrelatie- portaal 20 . Kopers kunnen hier gebruikersvragen stellen, ‘bugs’ rapporteren, nieuwe functies voorstellen, meestemmen over toekomstige mogelijkheden en zelfs eigen modules voor dit misdaadplatform aanleveren.
Kostprijs De Citadel-malware werd in december 2011 voor het eerst ontdekt en dit commerciële misdaadplatform is sindsdien bij cybercriminelen flink in populariteit gestegen. Ondertussen hebben de ontwikkelaars zes updates uitgegeven en de meest recente versie is 1.3.5.1 met de codenaam ‘Rain Edition’21.
Aspirant cybercriminelen kunnen de Citadel-‘bouwdoos’ en bijbehorend beheerpaneel (voor command-and- control) aanschaffen vanaf $3,391. Voor $395 extra kan de koper ook een uitbreiding aanschaffen dat automatisch de Citadel-malware bijwerkt zodat het onzichtbaar blijft voor de nieuwste virushandtekeningen van antivirussoftware – zie ook de paragrafen ‘Unieke versleuteling’ op pagina 17 en ‘Minachting’ op pagina 21.
Geïnteresseerden kunnen tegen extra maandelijkse kosten ook ‘bulletproof’ hosting afnemen. Hierbij huurt de koper voor zijn command-and-control een betrouwbare server waarvan de eigenaar een oogje dichtknijpt en garant staat voor enige anonimiteit.
17 http://en.wikipedia.org/wiki/Zeus_(Trojan_horse) 18 http://nl.wikipedia.org/wiki/Botnet 19 http://threatpost.com/en_us/blogs/zeus-source-code-leaked-051011 20 http://krebsonsecurity.com/2012/01/citadel-trojan-touts-trouble-ticket-system/ 21 http://malware.dontneedcoffee.com/2012/06/update-to-citadel-v1345.html
Cyberaanval op Nederland | Citadel-malwareonderzoek “Pobelka” botnet Pagina 10
Man-in-the-Browser Citadel richt zich voornamelijk op de webbrowser. De webbrowser is het programma waarmee computergebruikers veel tijd doorbrengen. Men kan met een webbrowser o.a. op het internet surfen, webmail lezen (zoals Gmail), online winkelen22 en internetbankieren23. De webbrowser wordt zakelijk ook vaak gebruikt, bijvoorbeeld voor online zoeken naar informatie (Google, Bing) en het weergeven, aanmaken of bewerken van gedeelde documenten (via het intranet of online via bijvoorbeeld Microsoft Office 365).
Veel gebruikte webbrowsers zijn Microsoft Internet Explorer, Mozilla Firefox en Google Chrome. Deze worden allen door Citadel gemanipuleerd.
Een deel van Citadel’s machinecode met verwijzingen naar webbrowsers
22 http://www.cbs.nl/nl-NL/menu/themas/bedrijven/publicaties/digitale-economie/artikelen/2012-3625-wm.htm 23 http://www.cbs.nl/nl-NL/menu/themas/dossiers/eu/publicaties/archief/2012/2012-3662-wm.htm
Cyberaanval op Nederland | Citadel-malwareonderzoek “Pobelka” botnet Pagina 11
Diefstal Als de Citadel malware op de computer geraakt voert het een zogenaamde man-in-the-browser24 (MitB) aanval uit. Het nestelt zich in de webbrowser en plaatst zogenaamde ‘hooks’. Hiermee worden belangrijke systeemfuncties van de webbrowser omgeleid naar Citadel. Virusscanners plaatsen vergelijkbare omleidingen om bijvoorbeeld webverkeer te onderscheppen en te inspecteren teneinde schadelijke inhoud te blokkeren.
In het geval van Citadel worden de haken niet in het voordeel van de computergebruiker geplaatst. Via eenvoudig configureerbare ‘webinjects’ kan de aanvaller bijvoorbeeld geldbedragen van betaalopdrachten wegsluizen. De aanvalscode kan ook zogenaamde twee-factor authenticatie bij internetbankieren (via een ‘random reader’, e.dentifier of TAN-codes via mobiel) buiten spel zetten en kan gegevens zoals wachtwoorden, codes en bedragen kapen en manipuleren, zonder dat dit extra handelingen van het slachtoffer of de aanvaller vereist.
Citadel zal ook de surfhistorie, browserfavorieten en wachtwoorden van slachtoffers stelen. Het kan zelfs filmopnames maken van wat er op het beeldscherm gebeurd. Deze buitgemaakte gegevens worden automatisch naar de command-and-control-server van de cybercriminelen op het internet gestuurd waarna zij de identiteit van slachtoffers kunnen aannemen en nieuwe aanvallen kunnen opzetten. Ook kunnen de cybercriminelen via Citadel additionele computervirussen van het internet downloaden, dat andere kwaadaardige functies kan uitvoeren. Zo werd in augustus 2012 ook het Dorifelvirus25 door Citadel opgehaald, waardoor bedrijven, gemeenten en overheidsinstellingen dagenlang verlamd raakten omdat dit computervirus ontelbare Office-documenten infecteerde.
Zie ‘ Bijlage 1 – Webbrowser-hooks’ voor een overzicht van de ‘hooks’ die door Citadel in de webbrowser worden geplaatst.
24 http://nl.wikipedia.org/wiki/Man-in-the-browser 25 http://webwereld.nl/nieuws/111429/virus-bij-gemeenten-toch-van-citadel-botnet.html
Cyberaanval op Nederland | Citadel-malwareonderzoek “Pobelka” botnet Pagina 12
Cliënt-certificaten Een andere eigenschap van Citadel is dat het cliënt-certificaten buitmaakt, inclusief de bijbehorende privé- sleutels. Hiervoor haakt de malware in op de functie PFXImportCertStore van CRYPT32.dll. Op het Pobelka botnet zijn grote hoeveelheden buitgemaakte certificaten aangetroffen.
Bedrijven gebruiken dergelijke certificaten bijvoorbeeld om software te voorzien van een digitale handtekening (code signing26) of voor het autoriseren en beveiligen van een ad-hoc VPN-verbinding27 tussen een externe medewerker en het zakelijke netwerk. Cliënt-certificaten worden ook gebruikt voor het uitwisselen van gegevens met de Belastingdienst – dit zijn zogenaamde BAPI-certificaten voor o.a. loonaangifte, omzetbelasting en de inkomsten- en vennootschapsbelasting.
DigiNotar Na het DigiNotar-incident in augustus 2011 moesten alle bedrijven in Nederland een nieuw BAPI-certificaat aanvragen bij KPN omdat de DigiNotar-certificaten niet langer vertrouwd zijn28 en daarom zijn ingetrokken. Cybercriminelen hadden namelijk de Nederlandse certificaatverstrekker DigiNotar gehackt om zelf certificaten aan te maken die later gebruikt werden om o.a. beveiligd e-mailverkeer te ontsleutelen om dissidenten in Iran te ontmaskeren29. Door de hack bij DigiNotar heeft de overheid 8,7 miljoen euro aan kosten gemaakt30.
Citadel Server De communicatie met de command-and-control-server (het ‘moederschip’) van de cybercriminelen verloopt via zogenaamde HTTP POST commando’s. De buitgemaakte data wordt hiermee naar het ‘drop zone’-webadres gestuurd. Om web-filters te omzeilen en om uit handen van autoriteiten te blijven wijzigen de cybercriminelen regelmatig het webadres als ook de fysieke locatie van hun moederschip.
Op internet is webverkeer over poort 80 het meest voorkomend. Om webpagina’s te kunnen bekijken is dit verkeer overal toegestaan en de meeste malware maakt hier dan ook handig gebruik van. Ook Citadel gebruikt poort 80 waardoor het met zijn command-and-control-server kan communiceren. Deze communicatie is overigens versleuteld31.
Zie ‘Bijlage 2 – Citadel-webadressen’ voor een overzicht van de webadressen waarmee de Citadel-malware communiceert. Een opmerkend oog ziet dat het Pobelka botnet voornamelijk .ru als topleveldomein gebruiken. Dit is het Russische topleveldomein (ccTLD).
26 http://en.wikipedia.org/wiki/Code_signing 27 http://www.trusteer.com/blog/citadel-trojan-targets-airport-employees-with-vpn-attack 28 http://www.exact.nl/over-exact/publicaties/775-vervangen-bapi-certificaten-diginotar 29 http://tweakers.net/nieuws/76444/iran-gebruikt-nederlands-certificaat-om-gmail-te-onderscheppen.html 30 http://webwereld.nl/nieuws/110450/staat-legt-miljoenenclaim-bij-failliet-diginotar.html 31 http://nakedsecurity.sophos.com/2012/12/05/the-citadel-crimeware-kit-under-the-microscope/
Cyberaanval op Nederland | Citadel-malwareonderzoek “Pobelka” botnet Pagina 13
Onzichtbaar Naast het stelen en manipuleren van webverkeer bekijkt de Citadel-malware ook welke beveiligingssoftware is geïnstalleerd. Hierdoor weten de aanvallers precies welke antivirusprogramma’s ze bij hun slachtoffers moeten blijven omzeilen:
zodat ze gecontroleerd eventuele additionele computervirussen ongezien op de computer kunnen krijgen (zie ook ‘Kostprijs’ op pagina 10) en hun malafide programma’s zo lang mogelijk ongezien op de computer kunnen gebruiken.
Vanzelfsprekend zouden de aanvallers via Citadel de aanwezige antivirussoftware kunnen dwarsbomen of zelfs uitschakelen. Dit hebben ze echter niet gedaan. Waarschijnlijk om te voorkomen dat computergebruikers of systeembeheerders gealarmeerd zouden worden; zie ook de paragraaf ‘Minachting’ op pagina 21.
25 dagen Uit een eerder onderzoek32 van SurfRight – onder ruim 2,4 miljoen computers – is gebleken dat het gemiddeld 25 dagen duurt voordat thuisgebruikers hun computer gaan controleren met een ‘second opinion’ antivirusprogramma, zoals HitmanPro, om een digitale bankrover op te sporen. Thuisgebruikers doen dit meestal na een bericht van hun internetprovider (ISP). Deze ISP heeft via zwarte lijsten (van bijvoorbeeld ShadowServer Foundation) vernomen dat er webverkeer met een botnet is gesignaleerd op het publieke IP- adres van hun internetaansluiting.
De aangetroffen bankrovers stonden op computers die met een actief en up-to-date antivirusprogramma waren uitgerust. Deze real-time antivirussoftware had de malware niet opgemerkt waardoor een ‘second opinion’ scanner als HitmanPro ingeschakeld moest worden om de bedreiging te verwijderen.
Tijdens het Pobelka botnetonderzoek is gebleken dat geen van de ‘drop zone’-webadressen van de mango, lime en pepper campagnes op zwarte lijsten voorkomen, waardoor getroffen huishoudens, bedrijven en overheidsinstanties niet geïnformeerd konden worden over een actieve bedreiging.
32 http://hitmanpro.wordpress.com/2012/10/23/antivirus-shortens-the-life-time-of-financial-malware/
Cyberaanval op Nederland | Citadel-malwareonderzoek “Pobelka” botnet Pagina 14
Overleven Om ervoor te zorgen dat de malware een herstart van de computer overleeft installeert de Citadel-malware zichzelf in een submap onder “Application Data” (%AppData%), in de gebruikerscontext van de actieve computergebruiker. De naam van deze submap is willekeurig maar bestaat altijd uit 4 tot 6 alfabetische karakters. Het Citadel malware-bestand zelf heeft ook een willekeurig gekozen bestandsnaam met wederom een lengte van 4 tot 6 alfabetische karakters:
Opmerking: Citadel manipuleert zijn eigen tijdstempel in de MFT-tabel van het bestandssysteem. Hierdoor lijkt het alsof het bestand al jaren op de computer staat.
Windows-register Dankzij een registratie in het Windows-register zal de malware direct automatisch starten als de gebruiker zich aanmeld op Windows. De volgende registersleutel wordt hiervoor gebruikt:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Lyifyxawu
Opmerking: De tekenreeks ‘Lyifyxawu’ wordt willekeurig door Citadel samengesteld en verschilt per machine.
Cyberaanval op Nederland | Citadel-malwareonderzoek “Pobelka” botnet Pagina 15
Gebruikersprocessen Eenmaal gestart zal de Citadel-malware, met hulp van een standaard Windows-functie, zichzelf in alle gebruikersprocessen injecteren, zoals webbrowsers en programma’s als Word en Excel, zodat het de gegevensdoorvoer kan onderscheppen, stelen of manipuleren.
Onderstaande afbeelding toont de Citadel malware-injectie vanuit Windows Verkenner (explorer.exe) in de webbrowser Internet Explorer (iexplore.exe). Deze webbrowser wordt via de Windows Verkenner gestart waarna Citadel het geheugengebied @00140000-00179000 in de webbrowser reserveert (met Execute/Read/Write rechten) en hierin zijn kwaadaardige code kopieert. De malware wordt daarna gestart @00155844, wat in het geheugengebied van de malware-injectie ligt. Opmerking: Deze visualisatie is mogelijk gemaakt met hulp van SurfRight’s remote code injectie-detectie.
Systeemrechten Bijzonder is dat Citadel geen systeemrechten nodig heeft om zijn werk te kunnen doen. De malware werkt dus ook gewoon op gebruikersaccounts met beperkte rechten.
Omdat Citadel dus niet als separaat proces actief blijft is het niet zichtbaar in proceslijsten, zoals in Windows Taakbeheer. Het is voor geschoolde computergebruikers dus niet duidelijk of het programma daardoor actief is. Hierdoor kan de malware ook niet eenvoudig zonder een herstart van de computer uit een operationeel systeem worden verwijderd.
Cyberaanval op Nederland | Citadel-malwareonderzoek “Pobelka” botnet Pagina 16
Compressie Om virusdetectie en virusonderzoekers verder te frustreren is de Citadel-malware gecomprimeerd/versleuteld middels een datacompressie-algoritme.
Bijna alle cybercriminelen verhullen en/of comprimeren tegenwoordig hun malware om de levensduur van hun aanvalsgereedschap te verlengen. Automatische virus-analysesystemen kunnen de malware hierdoor minder eenvoudig identificeren waardoor een antivirusbedrijf soms zelfs handmatig de mogelijke bedreiging moet analyseren om tot een bruikbare virushandtekening te komen. Dit kost veel tijd en geeft de aanvallers dus langer de mogelijkheid om ongezien hun kwaadaardige plan te blijven voeren.
Bij het toepassen van een compressie-algoritme neemt echter de ‘wanorde’ of gegevensentropie toe. Dit is te visualiseren als een foto-histogram:
Ongecomprimeerd Gecomprimeerd
Unieke versleuteling De Citadel-malware wordt op elke machine uniek versleuteld. Hierdoor is het niet mogelijk om middels een standaard ‘hash’ als MD5 of SHA256 alle varianten te ontdekken. Gerenommeerde antivirusprogramma’s hebben vaak voor elk Citadel-botnet daarom een unieke virushandtekening waarmee de bijbehorende varianten kunnen worden ontdekt.
In de praktijk is deze virushandtekening slechts in staat om een beperkt aantal virusexemplaren te identificeren omdat de aanvallers tussentijds hun malware bijwerken, waardoor de virushandtekening niet meer effectief is. Om de ontwikkeling van virushandtekeningen te volgen kunnen de aanvallers gebruik maken van diensten als Scan4You33 (een anonieme equivalent van VirusTotal34) waarbij ze direct geïnformeerd worden als hun huidige exemplaar door één van de 35 antivirusprogramma’s wordt opgemerkt. Hierop zullen de aanvallers hun malware aanpassen en als update naar de getroffen computers sturen.
33 http://www.scan4you.net 34 https://www.virustotal.com/
Cyberaanval op Nederland | Citadel-malwareonderzoek “Pobelka” botnet Pagina 17
Beveiligingssoftware Als de Citadel malware actief wordt bekijkt het welke beveiligingssoftware op de computer geïnstalleerd is. Het kijkt hiervoor in het Windows-register en let dan in het bijzonder op namen van antivirusbedrijven en veel gebruikte beveiligingssoftware in de zogenaamde ‘Uninstall’-sleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Zie ‘Bijlage 3 – Beveiligingssoftware’ voor een overzicht van de teksten waarop Citadel controleert.
Naast het Windows-register raadpleegt de malware ook het Windows Beveiligingscentrum via het Windows Management Instrumentation (WMI). WMI is de Microsoft-implementatie van WBEM (Web-Based Enterprise Management), een initiatief om standaarden vast te stellen voor de toegang tot en het gemeenschappelijk gebruik van beheerinformatie in een bedrijfsnetwerk. Antivirus- en firewallsoftware registeren hun aanwezigheid en status via WMI in het Windows Beveiligingscentrum. Deze informatie wordt door Citadel doorgebriefd aan de command-and-control-server van de cybercriminelen op internet.
Opmerking: De beveiligingssoftware van McAfee registreert zich niet conform de standaard in het Windows Beveiligingscentrum waardoor Citadel ook in het Windows-register moet neuzen of deze beveiligingssoftware geïnstalleerd is.
Cyberaanval op Nederland | Citadel-malwareonderzoek “Pobelka” botnet Pagina 18
Geïnstalleerde software De malware zoekt tevens uit welke legitieme software op de computer geïnstalleerd is. Het kent hierdoor ook de versiegegevens van bijvoorbeeld Microsoft Office, Java, Flash, Adobe Reader, etc. Hiervoor gebruikt het eveneens de ‘Uninstall’-sleutel in het Windows-register. Omdat Citadel ook over de versiegegevens van de geïnstalleerde software beschikt kan deze informatie door de aanvaller misbruikt worden om, via kwetsbaarheden in veelvoorkomende softwareversies, vervolg-aanvallen te optimaliseren.
Cyberaanval op Nederland | Citadel-malwareonderzoek “Pobelka” botnet Pagina 19
Bijzonderheden Citadel verwijderd zijn bestandsnaam (pad) bij de geheugenadresseringen van het proces waarin het mede actief is. Dit is verdacht want een legitiem programma zou dit niet doelbewust doen.
Verder is de actieve Citadel malware in het geheugen niet langer gecomprimeerd of versleuteld. Een geheugenscan zou de malware moeten kunnen identificeren. Maar omdat het pad naar het malware-bestand niet in het geheugen wordt vermeld en er verschil is tussen het versleutelde bestand op de harde schijf en het uitgepakte bestand in het geheugen, is er niet direct een relatie te leggen tussen beide objecten; zie ook de paragraaf ‘Compressie’ op pagina 17.
Ransomware De Citadel-malware is recentelijk onterecht als ransomware in het nieuws gekomen – ransomware is in Nederland beter bekend als gijzelvirus of politievirus. Citadel wordt echter wel regelmatig ingezet om gijzelvirussen (zoals ‘Reveton’) te verspreiden35.
Brian Krebs In de code van de Citadel-malware is ook een verwijzing naar Brian Krebs opgenomen. Brian Krebs is een bekende Amerikaanse journalist en onderzoeker gespecialiseerd in computerbeveiliging en cybercrime. Hij weet regelmatig met succes activiteiten van cybercriminelen te ontmaskeren. De ontwikkelaar van de ZeuS-malware (waarop Citadel voor een groot deel is gebaseerd) heeft in de machinecode van het kwaadaardige programma als grap de volgende tekst opgenomen:
Coded by BRIAN KREBS for personal use only. I love my job & wife.
35 http://www.security.nl/artikel/44156/1/FBI_waarschuwt_opnieuw_voor_politievirus.html
Cyberaanval op Nederland | Citadel-malwareonderzoek “Pobelka” botnet Pagina 20
Minachting Dit alles in ogenschouw genomen heeft de malware minachting voor antivirussoftware en is totaal niet bang om ontdekt te worden. En uit statistieken van HitmanPro blijkt ook dat gerenommeerde real-time antivirussoftware niet altijd in staat is de malware bij binnenkomst te blokkeren, een actieve variant binnen een paar weken te detecteren, laat staan te verwijderen.
Dit jaar stond de ZeuS/Citadel malware maanden lang op de nr. 1 positie van veelvoorkomende malware op veilig geachte computersystemen36.
HitmanPro De meeste antivirussoftware detecteert bekende malware door programma’s te doorzoeken op codereeksen of patronen die overeenkomen met een virushandtekening in een virusdefinitie-database. Het in dit document beschreven onderzoek toont aan dat cybercriminelen deze detectie eenvoudig omzeilen door de ontwikkeling van virushandtekeningen op de voet te volgen en daarop direct nieuwe varianten uit te geven. Hierdoor weten ze doorlopend onzichtbaar te blijven voor antivirussoftware.
HitmanPro detecteert malware met zijn gedragsscan, een malware detectiesysteem gebaseerd op forensisch onderzoek; het verzamelen en associëren van informatie. Het identificeert en correleert gedragingen en eigenschappen en geeft elk bestand met uitvoerbare code een bedreigingsscore. Hiervoor analyseert het programma’s op afwijkingen in de structuur, imitatie, aanpassingen, zichtbaarheid, (onethische) gedragingen, overlevingsvermogen, verwijdervermogen, reputatie, zijn oorsprong en relatie tot andere geheugen-, bestanden- en registerobjecten en hun kenmerken en reputaties. Hierdoor kan HitmanPro ook onbekende malware ontdekken.
36 http://www.security.nl/artikel/43636/1/Zeus_meest_aangetroffen_malware_in_Nederland.html
Cyberaanval op Nederland | Citadel-malwareonderzoek “Pobelka” botnet Pagina 21
Conclusie
Dagelijks vinden er aanvallen op internet en internetgebruikers plaats. De in dit document beschreven cybercrime-operatie verschilt echter op verschillende punten met dat van andere cybercriminelen en hun malware:
De cybercriminelen achter het Pobelka botnet hebben het voornamelijk op Nederlandse burgers en overheden gemunt.
Deze cybercrime-operatie maakt gebruik van een goed georganiseerd commercieel misdaadplatform waarbij de ondersteuning en relatie met de cybercriminelen die het gebruiken centraal staat.
Dit misdaadplatform volgt de ontwikkeling van virushandtekeningen nauwlettend op de voet en is bijzonder effectief in het doorlopend ontduiken van antivirussoftware.
Een hacker heeft doorgaans specialistische kennis nodig om een goed beveiligde website te kunnen kraken. De door Citadel buitgemaakte inloggegevens hebben het echter mogelijk gemaakt dat ook cybercriminelen zonder hackkennis Nederlandse webpagina’s hebben kunnen voorzien van aanvalscode.
Nederlandse computergebruikers werden door deze operatie, voorheen onverklaarbaar, aanhoudend geteisterd door verschillende malware, waaronder nep-antivirusprogramma’s, gijzelvirussen en andere malware voor financieel gewin.
De Citadel-malware gaat specifiek op zoek naar kritieke informatie waarmee cybercriminelen vervolgaanvallen kunnen voorbereiden.
Er zijn strategische overzichten gemaakt van andere computers op interne netwerken die, in combinatie met de buitgemaakt toegangsgegevens, voor veel geld aan derden kunnen zijn verkocht, bijvoorbeeld voor staat gesponsorde aanvallen.
Opmerking: Tijdens de activiteiten in dit onderzoek is altijd de Nederlandse Team High Tech Crime (THTC) van het KLPD geraadpleegd om de kansen op strafrechtelijke vervolging van de cybercriminelen te optimaliseren.
Cyberaanval op Nederland | Citadel-malwareonderzoek “Pobelka” botnet Pagina 22
Aanbevelingen Overheden, waaronder het Team High Tech Crime (THTC) van de KLPD en het Nationaal Cyber Security Centrum (NCSC), zijn na het aantreffen van de informatie ingeschakeld en hebben maatregelen getroffen. Gezien de ernst en grootte van dit probleem is het lastig alle getroffenen persoonlijk te benaderen en exact aan te geven welke kritieke gegevens zijn buitgemaakt. Het is daarom van groot belang dat iedereen, vooral bedrijven en overheidsinstellingen, de hele IT voorziening controleert. Op de volgende website van Digital Investigation kan men testen of ze onderdeel zijn/waren van het Pobelka botnet. Het toont de namen van de computers die in beheer zijn/waren van cybercriminelen:
http://check.botnet.nu
Om de privacy van de slachtoffers te waarborgen moet deze website bezocht worden vanuit het interne (bedrijfs-)netwerk. De check gebeurd aan de hand van het publieke IP-adres van de internetverbinding. We raden daarna iedereen aan de volgende stappen te nemen:
1. Gebruik een ‘second opinion’ antivirusprogramma om alle computers te scannen op de aanwezigheid van de Citadel-malware. De aangetroffen malware moet worden verwijderd of de getroffen computers moeten opnieuw worden ‘ingespoeld’ (her-installeren).
2. Bedrijven: Welke zakelijke werkzaamheden worden op deze zombiecomputers gedaan? Neem maatregelen en geef bijvoorbeeld nieuwe certificaten uit als de computer wordt gebruikt voor bijvoorbeeld boekhouden of het opzetten van een VPN-verbinding (remote/thuiswerken).
3. Belangrijk: alle wachtwoorden moeten worden gewijzigd37.
We raden iedereen aan een gratis scan met HitmanPro uit te voeren om de bedreiging op te sporen. Het programma kan hier worden gedownload: http://check.botnet.nu/fix.html. Dit anti-malware programma is na het Pobelka onderzoek door SurfRight van een nieuwe techniek voorzien om zonder virushandtekeningen de op ZeuS-gebaseerde malware, waaronder Citadel, te kunnen detecteren. Het zal daarnaast ook naar alle andere bedreigingen zoeken. Virusscanners van gerenommeerde antivirusbedrijven bieden geen zekerheid, zie ook paragraaf ‘Unieke versleuteling’ op pagina 16. Het opsporen van malware is met HitmanPro gratis. Het kan eenvoudig en stil in een netwerkomgeving worden gebruikt en conflicteert niet met andere aanwezige antivirussoftware. Een handleiding voor netwerkbeheerders: http://www.surfright.com/downloads/business
Grote organisaties: Als tussen januari 2012 en oktober 2012 de publieke IP-adressen van uw organisatie zijn gewijzigd kunt u het beste contact opnemen met het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Veiligheid en Justitie in Den Haag en hen vragen of uw gegevens zijn gestolen.
37 https://www.ncsc.nl/dienstverlening/expertise-advies/factsheets/factsheet-help-mijn-gegevens-zijn-gelekt.html
Cyberaanval op Nederland | Citadel-malwareonderzoek “Pobelka” botnet Pagina 23
Bijlage 1 – Webbrowser-hooks
WININET.dll USER32.dll HttpEndRequest BeginPaint HttpOpenRequest CallNextHookEx HttpQueryInfo CallWindowProc HttpSendRequest CreateWindowEx HttpSendRequestEx DefDlgProc InternetCloseHandle DefFrameProc InternetQueryDataAvailable DefMDIChildProc InternetReadFile DefWindowProc InternetReadFileEx DialogBoxIndirectParam InternetSetFilePointer DialogBoxParam EndPaint WS2_32.dll GetCapture WSASend GetClipboardData closesocket GetCursorPos getaddrinfo GetDC gethostbyname GetDCEx send GetMessage GetMessagePos ntdll.dll GetUpdateRect LdrLoadDll GetUpdateRgn NtCreateThread GetWindowDC ZwCreateThread MessageBoxEx MessageBoxIndirect CRYPT32.dll OpenInputDesktop PFXImportCertStore PeekMessage RegisterClass RegisterClassEx ReleaseCapture ReleaseDC SetCapture SetCursorPos SetWindowsHookEx SwitchDesktop TranslateMessage UnhookWindowsHookEx
Cyberaanval op Nederland | Citadel-malwareonderzoek “Pobelka” botnet Pagina 24
Bijlage 2 – Citadel-webadressen
Pepper Lime http://stoleranavole.ru/pepper/file.php http://kavabangastudio.ru/lime/tuktuk.php http://stoleranavole.ru/pepper/disney.php http://belmandoandco.ru/lime/file.php http://radugavmore.ru/pepper/file.php http://lokaltriper.ru/lime/file.php http://krugvkube.ru/pepper/file.php http://tarelkasupa.ru/lime/file.php http://ehalgreka.ru/pepper/file.php http://tarelkasupa.ru/lime/tuktuk.php http://krotnanebe.ru/pepper/file.php http://gniloiiphone.ru/lime/file.php http://radostbelki.ru/pepper/file.php http://gniloiiphone.ru/lime/tuktuk.php http://mishkazaichishka.ru/pepper/file.php http://travokurrr.ru/lime/file.php http://loshadivokeane.ru/pepper/file.php http://travokurrr.ru/lime/tuktuk.php http://loshadivokeane.ru/pepper/disney.php http://polekolbasy.ru/lime/file.php http://uronilimishku.ru/lime/file.php Mango http://kvaskirogas.ru/lime/file.php http://securenetsolutions.ru/mango/file.php http://gendalfurod.ru/lime/file.php http://openlocalsnet.ru/mango/file.php http://uronilimishku.ru/lime/tuktuk.php http://openlocalsnet.ru/mango/tuktuk.php http://kvaskirogas.ru/lime/tuktuk.php http://logicaltrading.ru/mango/file.php http://electricityrobot.ru/mango/file.php http://paranormalsouls.ru/mango/file.php http://hollosecurity.ru/mango/file.php http://holloseculabor.ru/mango/file.php http://helloseclaborber.ru/mango/file.php http://kavabangastudio.ru/mango/file.php
Cyberaanval op Nederland | Citadel-malwareonderzoek “Pobelka” botnet Pagina 25
Bijlage 3 – Beveiligingssoftware
Citadel gebruikt het Windows-register om op zoek te gaan naar geïnstalleerde software. Het kijkt dan met name naar de waarden van “Publisher” en “DisplayName” voor de volgende teksten:
SafenSoft SysWatch McAfee McAfee SecurityCenter McAfee Security Center Symantec Client Symantec Protection Symantec Shared Symantec Security Norton Protection Kaspersky Security Kaspersky Anti-Virus avast! Antivirus AntiVir Desktop AVG Monitor AVG Service AVG Security ESET Security ESET Antivirus Microsoft Inspection Microsoft Malware Microsoft Security
Cyberaanval op Nederland | Citadel-malwareonderzoek “Pobelka” botnet Pagina 26
Contact
Als u vragen heeft betreft het opsporen en bestrijden van Citadel-malware (waaronder ook Zeus en Zbot) kunt u contact opnemen met SurfRight:
SurfRight B.V. Lansinkesweg 4 7553 AE Hengelo Nederland Telefoon 074 250 41 47 E-mail [email protected]
Bij vragen over de achterliggende infrastructuur van het Pobelka botnet kunt u contact opnemen met Digital Investigation:
Digital Investigation Sumatralaan 45 Media Park, Media Gateway B 1217 GP Hilversum Nederland Telefoon 035 677 4411 E-mail [email protected]
Een Engelstalig technisch rapport van Rickey Gevers van Digital Investigation betreft de command-and- control-sever vindt u hier: http://check.botnet.nu/technical.html
Documenthistorie
Versie Auteur Opmerkingen
1.2 (2013-02-14) ML Link naar vervolgonderzoek door NOS toegevoegd.
1.1 (2012-12-24) ML Voorbeelden van buitgemaakte gegevens toegevoegd.
1.0 (2012-12-21) ML, RG Initiële uitgave.
Cyberaanval op Nederland | Citadel-malwareonderzoek “Pobelka” botnet Pagina 27